Skôr než spustíte kampaň: ciele, rozsah a právny základ
Phishing je stále najčastejší spôsob, akým sa útočníci dostanú do firemnej siete. Správa ENISA Threat Landscape 2025 pripisuje phishingu približne 60 % analyzovaných prienikov ako vektoru počiatočného prístupu - s veľkým náskokom pred zneužívaním zraniteľností. A Slovensko si následky jediného úspešného prieniku zažilo naplno: ransomvérový útok na kataster z januára 2025 označili úrady za najväčší kybernetický incident v histórii krajiny. Simulovaná phishingová kampaň je spôsob, ako si bezpečne a podľa vlastných pravidiel overiť, čo sa stane, keď takáto správa dorazí k vašim ľuďom.
Skôr než siahnete po prvej šablóne, rozhodnite, na čo kampaň slúži. Prvá simulácia má zvyčajne jeden z troch cieľov: zmerať východiskovú mieru preklikov, získať podklady pre audit či dotazník poisťovne, alebo spustiť cielené školenie. Cieľ si zapíšte - určuje, koho budete testovať, aká náročná má byť šablóna a čo budete následne reportovať.
Z právneho hľadiska je európska prax ustálená: základom spracúvania podľa GDPR je oprávnený záujem zamestnávateľa, nie súhlas zamestnancov - pýtať si povolenie pred každou kampaňou by test znehodnotilo. Spíšte si so zodpovednou osobou (DPO) posúdenie oprávneného záujmu, v bezpečnostnej smernici uveďte, že simulácie prebiehajú (bez prezradenia termínov), a ak u vás pôsobia zástupcovia zamestnancov, program s nimi prerokujte. Právnym náležitostiam sa podrobne venujeme v návode na phishingový test zamestnancov.
Krok 1: Východisková kampaň - koho testovať, kedy a ako náročne
Vaša prvá kampaň je meranie, nie školenie. Podľa toho k nej pristupujte a držte premenné pod kontrolou, aby sa s ňou dali porovnávať všetky neskoršie kampane.
- Vyexportujte kompletný zoznam príjemcov z adresára - všetkých s firemnou schránkou vrátane manažmentu, brigádnikov a externistov s firemným kontom. Ručne vybraná vzorka vyprodukuje lichotivú, ale nepoužiteľnú východiskovú hodnotu.
- Zvoľte bežný pracovný týždeň. Vyhnite sa uzávierke kvartálu, sviatkom aj týždňu celofiremnej porady.
- Vyberte jednu šablónu ľahkej až strednej náročnosti s dvoma-tromi odhaliteľnými varovnými signálmi - dobre funguje všeobecná notifikácia o zásielke alebo upozornenie na expiráciu hesla.
- Správy rozosielajte postupne v priebehu dopoludnia namiesto hromadného výstrelu o 9:00 - ten pôsobí umelo a spustí jedinú vlnu šuškandy.
- Všetko si zaznamenajte: šablónu, náročnosť, okno rozosielania, publikum. Pri opakovanom meraní východiskovej úrovne tieto nastavenia použijete znova.
Najčastejšou chybou prvej kampane je príliš náročný štart. Dokonalý klon vlastného HR portálu ohlasujúci úpravu miezd nachytá veľkú časť každej firmy vrátane bezpečnostného tímu. Taký výsledok dokazuje len to, že dobre pripravený spear phishing funguje - a to ste vedeli aj predtým. Začnite ľahšie a ťažké scenáre si odložte na neskoršie kampane.
A nevynechávajte manažment. Vedenie a finančné oddelenie sú presne tí, na ktorých mieria skutoční útočníci - a ich vyňatie navyše ostatným signalizuje, že celý program je len divadlo.
Krok 2: Vyberte scenáre, ktoré kopírujú reálne útoky na Slovensku
Realistickosť scenára je dôležitejšia než kreativita. Návnady, ktoré dominujú reálnej útočnej prevádzke v strednej Európe, sú všedné: notifikácie o zásielkach, upozornenia na prihlásenie do Microsoft 365, dodávateľské faktúry a zdieľané dokumenty. Slovenská pošta aj SK-CERT opakovane varovali pred podvodnými správami o zásielkach v jej mene a v roku 2026 polícia s vládnou jednotkou CSIRT varovali pred vlnou quishingu - podvodných QR kódov imitujúcich banky a štátne inštitúcie. Simulácia má vyzerať ako to, čomu zamestnanci skutočne čelia, a v jazyku, v ktorom pracujú. Útočníci dnes píšu plynulou slovenčinou, takže neohrabaná anglická šablóna v slovenskej kancelárii nič neotestuje.
| Návnada | Zámienka | Náročnosť |
|---|---|---|
| Doručenie zásielky | Nedoručený balík alebo drobný colný poplatok v mene Slovenskej pošty či kuriérskej služby s odkazom na falošnú stránku sledovania zásielky | Ľahká–stredná |
| Prihlásenie Microsoft 365 / Google | Expirácia hesla, upozornenie na neobvyklé prihlásenie alebo plná schránka s odkazom na klon prihlasovacej stránky | Stredná |
| Faktúra / dodávateľ | Neuhradená faktúra alebo oznámenie o zmene čísla bankového účtu od známeho dodávateľa | Stredná–ťažká |
| Interné IT alebo HR | Aktualizácia VPN, zmena vo výplatnej páske alebo zamestnanecké benefity v mene vlastných oddelení | Ťažká |
Ako vybrať šablóny phishingových emailov pre simuláciu
Dobré šablóny phishingových emailov majú tri spoločné znaky: odosielateľa vierohodného pre vaše prostredie, presne jednu výzvu na akciu a varovné signály, ktoré pozorný zamestnanec dokáže reálne odhaliť - podobnú doménu, všeobecné oslovenie, nesediaci odkaz. Kalibráciu uľahčí naša galéria s príkladmi phishingových emailov. Vyhnite sa emocionálne zneužívajúcim zámienkam, ako sú falošné prepúšťanie či fiktívne odmeny: vyvolajú eskalácie na HR a odpor, nie ostražitosť.
Krok 3: Allowlisting v Microsoft 365 a Google Workspace
Allowlisting je krok, ktorý sa najčastejšie preskakuje - a práve preto toľko prvých kampaní vyprodukuje nepoužiteľné dáta. Meriate ľudí, nie spamový filter. Bez allowlistingu Microsoft Defender alebo Gmail časť správ zadrží v karanténe, časti prepíše odkazy a zvyšok doručí - a vaša miera preklikov sa zmení na hod mincou.
Allowlisting phishingovej simulácie v Microsoft 365
Microsoft má na tento účel vyhradený mechanizmus - politiku rozšíreného doručovania (advanced delivery), ktorá službe Defender for Office 365 oznámi, že ide o schválenú simuláciu:
- V portáli Microsoft Defender otvorte Email & collaboration → Policies & rules → Threat policies → Advanced delivery.
- Prepnite sa na kartu Phishing simulation a zvoľte Edit.
- Pridajte odosielacie domény vašej platformy, odosielacie IP adresy a simulačné URL používané v emailoch a na cieľových stránkach.
- Uložte a pošlite testovaciu správu do skúšobnej schránky, aby ste si overili, že nič neskončí v karanténe a Safe Links nechá URL na pokoji.
Advanced delivery zároveň pre tieto správy potlačí výstrahy aj automatizované vyšetrovanie, takže vám bezpečnostné nástroje kampaň uprostred letu samy nezmažú.
Allowlisting v Google Workspace
- V konzole Google Admin prejdite na Aplikácie → Google Workspace → Gmail → Spam, phishing a malvér.
- Pridajte odosielacie IP adresy platformy do zoznamu povolených adries.
- V nastavení Spam vytvorte zoznam schválených odosielateľov so simulačnými doménami a zapnite preň voľbu „Obísť spamové filtre“.
- Počítajte s propagáciou zmien až do 24 hodín - uvádza to priamo dokumentácia Googlu - a pred spustením otestujte doručenie na skúšobnú schránku.
Krok 4: Spustenie, monitorovanie a prvé nahlásenia od zamestnancov
Skôr než platformu opustí prvý email, informujte tri skupiny: helpdesk, IT či bezpečnostných administrátorov a sponzora z vedenia. Helpdesk dostane okno kampane, odosielaciu doménu a pripravenú odpoveď - poďakovať nahlasujúcemu, potvrdiť, že netreba nič robiť, zaevidovať tiket. Nikto ďalší detaily nedostane, ani vedúci oddelení - tí majú dobre zdokumentovaný zvyk varovať vlastné tímy.
Prvú hodinu pozorne sledujte. Najprv overte doručenie - ak časť správ skončila v karanténe, kampaň pozastavte, opravte allowlisting a spustite ju neskôr znova, namiesto vyvodzovania záverov z čiastočného doručenia. Potom sledujte prichádzajúce prekliky a nahlásenia.
K prvým nahlasujúcim sa správajte dobre; sú vaším reálnym systémom včasného varovania a workflow nahlásenia jedným kliknutím, aký ponúka PhishGun, robí z tohto správania merateľnú metriku namiesto historky. Počítajte s kolektívnym varovaním - jeden človek napíše upozornenie do tímového chatu a prekliky sa zastavia. Aj to je skutočné bezpečnostné správanie, ktoré sa oplatí poznať, ale ak chcete čisté dáta na úrovni jednotlivcov, rozosielajte postupne po tímoch, aby jedno varovanie nesterilizovalo celú kampaň. Cieľové stránky nechajte bežať tri až päť pracovných dní.
Krok 5: Vyhodnotenie - miera preklikov, miera nahlásení a čas do nahlásenia
Odolajte pokušeniu zredukovať kampaň na jediné číslo preklikov. Vašu skutočnú expozíciu opisujú štyri metriky čítané spolu:
| Metrika | Čo vám hovorí | Zdravý trend |
|---|---|---|
| Miera preklikov | Podiel príjemcov, ktorí klikli na odkaz | Pri porovnateľnej náročnosti klesá z kampane na kampaň |
| Miera zlyhania | Podiel tých, ktorí zadali prihlasovacie údaje alebo otvorili prílohu | Pri ľahkých a stredných šablónach sa blíži k nule |
| Miera nahlásení | Podiel tých, ktorí správu nahlásili tlačidlom alebo cez helpdesk | Rastie, kým nepredbehne mieru preklikov |
| Čas do nahlásenia | Minúty od prvého doručenia po prvé nahlásenie zamestnancom | Skracuje sa; prvé nahlásenie príde skôr než prvý preklik |
Čas do nahlásenia je metrika, ktorú väčšina tímov ignoruje - a pritom sa najpriamejšie premieta do reálnych incidentov. Správa Verizon Data Breach Investigations Report 2024 namerala medián len 21 sekúnd od otvorenia emailu po kliknutie na phishingový odkaz a ďalších 28 sekúnd po zadanie údajov. Pri skutočnom útoku je vaše reakčné okno presne medzera medzi prvým nahlásením a prvým preklikom.
Samotná miera preklikov je číslo skôr do prezentácie než do praxe: hýbe ňou náročnosť šablóny viac než reálne povedomie. Kampane porovnávajte len pri porovnateľnej náročnosti, výsledky segmentujte po oddeleniach a odfiltrujte prekliky bezpečnostných skenerov, ktoré URL otvárajú skôr, než správu vôbec uvidí človek. Kontext k typickým hodnotám nájdete v našich phishingových štatistikách.
Ako často robiť phishingové simulácie?
Pre väčšinu organizácií je štvrťrok minimum a mesačná frekvencia lepšia voľba. Jediný test ročne je momentka, nie program - správanie sa mení iba pravidelnou a pestrou expozíciou a rok stará miera preklikov nepresvedčí audítora ani poisťovňu. Rovnaká logika platí aj pri otázke, ako často školiť zamestnancov: nárazovo raz ročne to jednoducho nefunguje.
| Organizácia | Odporúčaná frekvencia | Hlavný dôvod |
|---|---|---|
| MSP bez sektorovej regulácie | Štvrťročne, plus východisková kampaň pri nástupe nováčikov | Zmena správania; dotazníky kybernetického poistenia |
| Subjekty regulované NIS2 (zákon č. 69/2018 Z. z.) | Mesačne až štvrťročne, s dokumentáciou | Plán rozvoja bezpečnostného povedomia podľa vyhlášky NBÚ č. 227/2025 Z. z. |
| Finančné subjekty pod nariadením DORA | Mesačne až štvrťročne, podľa rolí | Povinné školenia povedomia a odolnosti podľa čl. 13 ods. 6; dohľad NBS |
| Firmy certifikované podľa ISO 27001 | Aspoň štvrťročne, so záznamami | Dôkazy účinnosti pre článok 7.3 a opatrenie A.6.3 pri auditoch |
Rytmus čoraz častejšie určuje regulácia. Novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (č. 366/2024 Z. z.), účinná od 1. januára 2025, zaradila medzi povinné opatrenia základnú kybernetickú hygienu a školenia a vyhláška NBÚ č. 227/2025 Z. z. od septembra 2025 vyžaduje plán rozvoja bezpečnostného povedomia: vstupné školenie pred pridelením prístupov, pravidelné opakovanie, vyhodnocovanie účinnosti a dokumentáciu. Metriky zo simulácií sú najčistejší dôkaz, aký môžete pri dvojročnom audite kybernetickej bezpečnosti podľa § 29 predložiť - a prechodné obdobie sa končí 31. decembra 2026, takže plný súlad treba preukázať od roku 2027. Podrobnosti rozoberáme v článku o školení zamestnancov podľa NIS2.
Frekvencia neznamená posielať každý mesiac všetkým rovnakú šablónu. Striedajte scenáre, obmieňajte časy rozosielania aj publikum a vyhnite sa predvídateľnému vzoru „prvý pondelok v mesiaci“, ktorý sa zamestnanci naučia očakávať.
Po simulácii: spätná väzba, mikroškolenie a ďalšia kampaň
Slučku uzavrite v priebehu dní, nie týždňov. Agregované výsledky zdieľajte s celou firmou: použitú návnadu, mieru preklikov a nahlásení a varovné signály, ktoré ju prezrádzali. O kampani sa aj tak rozpráva - transparentné čísla premenia šuškandu na lekciu.
Pre tých, ktorí klikli, trvá moment vhodný na poučenie len niekoľko sekúnd. Krátke okamžité vysvetlenie konkrétnych signálov, ktoré prehliadli, prekoná 45-minútový e-learning pridelený o tri týždne neskôr. Spätnú väzbu v momente kliknutia doplňte naším prehľadom ako rozpoznať phishing, aby lekcia vydržala dlhšie než jedna šablóna.
Ďalšiu kampaň naplánujte, kým sú dáta čerstvé: tímom s dobrými výsledkami zvýšte náročnosť, tam, kde bola miera zlyhania vysoká, zopakujte podobné návnady, a scenáre časom rozširujte. Tieto osvedčené postupy pre phishingové simulácie - informované IT, realistické lokalizované šablóny, žiadne obviňovanie, stabilný rytmus - sa sčítavajú a program naberá hodnotu s každým cyklom.
Ak si nástroje nechcete skladať sami, PhishGun - produkt tímu ofenzívnej bezpečnosti Haxoris - pokrýva celú slučku: lokalizované slovenské, české a anglické šablóny, mikroškolenie priamo v momente kliknutia, workflow nahlasovania pre zamestnancov a reporty pripravené pre audit podľa NIS2, ISO 27001 či DORA. Prvú phishingovú kampaň môžete spustiť zadarmo, bez platobnej karty.
Časté otázky
Je phishingová simulácia zamestnancov legálna podľa GDPR?
Áno, ak je nastavená správne. Obvyklým právnym základom je oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR, nie súhlas - pýtať si povolenie pred každým testom by poprelo jeho zmysel. So zodpovednou osobou zdokumentujte posúdenie oprávneného záujmu, v bezpečnostnej smernici uveďte, že simulácie prebiehajú, prerokujte program so zástupcami zamestnancov a výsledky reportujte agregovane, bez menovania jednotlivcov.
Musím phishingovú simuláciu allowlistovať v Microsoft 365?
Áno. Bez allowlistingu Microsoft Defender časť správ zadrží v karanténe a zvyšok doručí, takže výsledky merajú filter, nie ľudí. V portáli Defender použite politiku rozšíreného doručovania (Email & collaboration → Policies & rules → Advanced delivery), zaregistrujte odosielacie domény, IP adresy a simulačné URL platformy a pred spustením overte doručenie na skúšobnej schránke.
Aká je dobrá miera preklikov pri phishingovej simulácii?
Jediné správne číslo neexistuje - miera preklikov závisí predovšetkým od náročnosti šablóny a cielenia. Netrénované organizácie vidia pri prvom východiskovom meraní typicky dvojciferné percentá, vyspelé programy stláčajú ľahké a stredné šablóny na jednociferné hodnoty. Užitočnejším signálom je trend naprieč kampaňami a to, či miera nahlásení časom predbehne mieru preklikov.
Majú byť zamestnanci potrestaní za kliknutie na simulovaný phishing?
Nie. Trestanie klikačov je najrýchlejšia cesta, ako zničiť kultúru nahlasovania: ľudia prestanú hlásiť simulácie aj skutočné incidenty, aby sa vyhli obviňovaniu. Kliknutie berte ako spúšťač školenia a doručte krátke okamžité mikroškolenie o prehliadnutých varovných signáloch. Eskaláciu si nechajte pre opakované zlyhania v rizikových rolách - a aj vtedy uprednostnite ďalšie školenie pred postihom.
Ako dlho má bežať phishingová simulačná kampaň?
Rozumné okno pre väčšinu kampaní je tri až päť pracovných dní. Prevažná časť preklikov a nahlásení príde v prvých hodinách po doručení, ale viacdňové okno zachytí aj ľudí na čiastočný úväzok a tých, ktorí sa vracajú z dovolenky. Cieľové stránky nechajte aktívne počas celého okna, potom kampaň uzavrite, vylúčte automatizované prekliky skenerov a vyhodnoťte výsledky.